任意文件上传漏洞,添加白名单校验

最新推荐文章于 2024-05-12 08:20:08 发布
最新推荐文章于 2024-05-12 08:20:08 发布
阅读量1.2k 收藏 4
点赞数
文章标签: 安全 web安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/apple_pingwan/article/details/128670793
版权

为解决任意文件上传漏洞,添加白名单校验文件后缀名
1)添加配置信息

file_strict_name=true
file_special_characters=
file_allow_types=jpg,png,tif,gif,dwg,pdf,zip,docx,doc,xls,xlsx
file_allows=true

2)添加白名单校验方法

@Service
public class ObsService {
	
	/**
	 * 是否要判断文件名含有非法字符
	 */
	@Value("${file_strict_name}")
    private String fileStrictName;
	/**
	 * 文件名含有的特殊字符
	 */
    @Value("${file_special_characters}")
    private String fileSpecialCharacters;
    
    /**
	 * 允许上传的文件类型
	 */
    @Value("${file_allow_types}")
    private String[] fileAllowTypes;
    /**
	 * 是否开启文件类型白名单
	 */
	@Value("${file_allows}")
    private String fileAllows;
	
	
	/**
	 * 判断文件名中是否含有非法字符
	 * @param fileName
	 */
	public void illegalCharacters(String fileName) throws Exception{
		if(StringUtils.isNotBlank(fileStrictName) && Boolean.valueOf(fileStrictName)) {
			//要判断文件名中是否包含非法字符
			if(StringUtils.isNotBlank(fileName)) {
				//默认允许包含中文、英文、数字包括下划线
				String n = "[\\u4E00-\\u9FA5A-Za-z0-9_]+";
				//不为空则拼接上
				if (null != fileSpecialCharacters && !"".equals(fileSpecialCharacters)) {
					n = "[\\u4E00-\\u9FA5A-Za-z0-9_" + fileSpecialCharacters+"]+"; 
				}
				Pattern pattern = Pattern.compile(n); 
				String nn = fileName;
				int last = nn.lastIndexOf(".");
				if (last != -1) {
					//截取掉扩展名好判断一些
					nn = nn.substring(0,last);
					
				}
				Matcher mat = pattern.matcher(nn); 
				if(!mat.matches()){
					throw new RuntimeException("文件名包含非法的字符,文件名允许输入【汉字,汉字标点符号,字母,数字,下划线,空格】");
				}
			}
		}
	}
	
	/**
	 * 上传文件类型是否在白名单中
	 * @param fileName
	 */
	public void whiteListVerify(String fileName) throws Exception{
		if(StringUtils.isNotBlank(fileAllows) && Boolean.valueOf(fileAllows)) {
			if(StringUtils.isNotBlank(fileName)) {
				String nn = fileName;
				int last = nn.lastIndexOf(".");
				if (last != -1) {
					//截取掉扩展名好判断一些
					nn = nn.substring(last+1, nn.length());
				}
				if(fileAllowTypes != null) {
					List<String> fileAllowsList = Arrays.asList(fileAllowTypes);
					if(!fileAllowsList.contains(nn.toLowerCase())) {
						throw new RuntimeException("文件【"+fileName+"】格式不正确,请上传["+StringUtils.join(fileAllowTypes, ",")+"]格式的文件");
					}
				}
			}
		}
	}
	
}

3)在文件上传接口中,调用白名单校验接口

@PostMapping("putFile")
	@Transactional
	public void putObject(HttpServletRequest request) throws Exception {
		List<MultipartFile> files = ((MultipartHttpServletRequest)request).getFiles("name");
		String businessType = request.getParameter("businessType");
		String businessMid = request.getParameter("businessKey");
		Attachments attachments = null;
		for(MultipartFile file: files) {
			try {
				//设置文件业务信息
				String fileName = file.getOriginalFilename();
				
				try {
					//判断文件名中是否含有非法字符
					obsService.illegalCharacters(fileName);
					//文件类型是否包含在白名单中
					obsService.whiteListVerify(fileName);
				}catch (Exception e1) {
					// TODO: handle exception
					throw e1;
				}
				
				......
			} catch (Exception e) {
				log.error("文件上传失败", e);
				throw e;
			}
		}
	}
apple_pingwan
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java ip 白名单_Java代码中对IP进行白名单验证
weixin_42538752的博客
02-16 1336
public classipUtil {//IP的正则,这个正则不能验证第一组数字为0的情况//private static Pattern pattern = Pattern//.compile("(1\\d{1,2}|2[0-4]\\d|25[0-5]|\\d{1,2})\\."//+ "(1\\d{1,2}|2[0-4]\\d|25[0-5]|\\d{1,2})\\."//+ "(1\\d{...
文件上传漏洞-白名单检测
dkxkl1314的博客
04-19 542
上传一张图片与上传一个自己构造的后缀,如果只能上传图片不能上传其它后缀文件,说明是白名单检测。可以利用00截断的方式进行绕过,包括%00截断与0x00截断。
深入浅出带你了解文件上传白名单绕过
最新发布
dzqxwzoe的博客
05-12 990
今天比较详细的讲了文件上传白名单绕过原理以及应用方法,可能刚开始学不太好理解。有兴趣的小伙伴可以自己去搭建靶机来进行测试,喜欢的小伙伴不妨一键三连。# 学习计划安排我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉。
实战 - 文件上传功能:校验文件类型,文件大小,获取文件真实类型
热门推荐
你今天真好看呀
11-24 1万+
① 定义允许上传的附件类型: attachment: file: maxSize: 10 types: jpeg: FFD8FF jpg: FFD8FF bmp: 424D png: 89504E47 rtf: 7B5C727466 txt: 75736167 pdf: 255044462D312E doc: D0CF11E0 docx: 504B030414 ② 读取appli
java后台添加上传白名单
xiaofengfeng_24的博客
05-24 3769
Java 后台添加后台上传白名单,通过文件后缀来对比文件byte前8位判断是否可以上传。
文件上传-白名单
qq_45300786的博客
08-30 5807
假如说,我们可以看到源码,那么这里表明只允许上传jpg、png、gif文件,除此以外,其他都不能。 %00截断,php5.3.29以下才可以用 之前我们说了,上传过程中先是上传到临时目录,也就是说她原来是把123.jpg上传到upload目录。 但是我们在临时目录前面加上我们自己的一句话木马后面跟上00截断, 就会变成upload/1.php%00.123.jpg, 最先是检测后缀名是否合规,判断到jpg合规,然后上传并移动目录,但是在移动的过程中,因为%00是结束符的意思,那么就把这个文件读取成了1
文件上传后端黑名单白名单绕过
在下小黄的博客
06-23 3377
大家好! 我是小黄,很高兴又跟大家见面啦 ! 拒绝水文,从我做起 !!!! 未经允许,禁止转载 ,违者必究!!!! 本实验仅适用于学习和测试 ,严禁违法操作 ! ! ! 今天更新的是: 文件上传后端黑名单白名单绕过 微信公众号回复:【靶机】,即可获取本文全部涉及到的工具。 创建时间:2021年6月23日 软件: MindMaster Pro、kali、DriftingBlues:7靶机 文件上传后端黑名单白名单绕过一、文件上传常见验证:客户端验证:客户端校验服务端验证:后缀名:黑名单、白名
计算机病毒与防护:文件上传漏洞利用MIME校验.ppt
06-10
* * * * * * * * * * * * 目录页 文件上传漏洞利用 MIME校验 文件上传漏洞---绕过MIME检测 1)上传一句话木马 eval.php 2)上传地址 36/DVWA/vulnerabilities/upload2 文件上传漏洞利用 文件上传漏洞---绕过MIME检测...
101web漏洞挖掘之任意文件读取漏洞1
08-03
任意文件读取漏洞详解】 任意文件读取漏洞是一种常见的Web安全问题,主要发生在PHP、Java和Python等编程语言中。这种漏洞允许攻击者通过构造特定的请求,读取服务器上的任意文件,包括敏感的配置文件、源代码、...
奇安信代码卫士,文件上传漏洞解决demo
04-23
(1)使用白名单控制上传文件类型,即只允许指定扩展名的文件上传。 (2)对上传文件后缀与MIME Type进行匹配校验, 对文件头信息与文件后缀进行匹配校验。 (3)对单个文件大小和总文件数进行限制, 避免拒绝服务...
计算机病毒与防护:文件上传漏洞原理.ppt
06-10
文件上传功能 文件上传功能 如果WEB应用在文件上传过程中没有对文件安全性进行有效的校验,攻击者可以通过上传WEBshell等恶意文件服务器进行攻击,这种情况下认为系统存在文件上传漏洞。 一个文件上传的一般...
Win10右键菜单添加校验文件命令注册表.zip
04-25
本教程将详细介绍如何利用注册表编辑器在Win10的右键菜单中添加校验文件的命令,特别是MD5校验。 首先,我们需要了解注册表编辑器在Windows系统中的作用。注册表是存储操作系统和应用程序设置的关键数据库,通过...
文件上传漏洞白名单检测
十五年游戏主程转渗透之路
04-19 1003
白名单检测,00截断,图片木马,条件竞争
IP白名单校验工具
yiqiu1959的博客
02-07 2198
package com.chinaentropy.screen.common.utils; import java.util.*; import java.util.regex.Pattern; /** * @author Suqi * @version 1.0 * @date 2022/2/7 14:45 * @desc 配置白名单工具类 */ public final class IpWhiteCheckUtil { // IP的正则 private static Patt
Web安全攻防的学习——10—(存储型XSS测试、环境搭建、定向挖掘XSS漏洞、CSRF原理介绍、文件上传绕过验证常用方式)
weixin_42118531的博客
05-03 1729
1、存储型XSS测试 环境搭建 1.下载ROCBOSS:https://www.rocboss.com/ 2.按照文档进行安装 将解压后文件放入phpstudy中的路径中: 打开之前使用的Phpstudy软件,开启Apache和Mysql的服务。 此时网页还不显示任何信息,需要进入安装过程: 1、修改pconline的配置文件 2、打开Webyog SQLyog这个软件,新建命名为:roc...
SpringBoot文件上传校验
Shawn的个人博客
12-02 6325
文章目录一、简介1、概述2、环境与技术介绍3、简单的文件上传二、文件校验与上传实战1、 前提准备2、 文件枚举类3、 自定义文件校验注解4、 文件校验切面5、 文件上传工具类6、 控制类7、 配置文件8、 文件的前端显示三、阿里云OSS文件上传1、 阿里云oss配置2、 Java整合oss3、 注意事项 一、简介 1、概述 文件上传Web项目的一个基本功能,一般是通过上传文件后缀名进行格式校验,但是由于文件的后缀是可以手动更改的,黑客可以通过修改后缀名入侵文件服务器,因此后缀名校验不是一种严格有效的文件
SpingSecurity 重定向uri白名单使用域名校验
weixin_42555971的博客
02-07 925
重定向uri 域名
文件上传黑名单和白名单校验
东方
07-29 4840
js , mime抓包改字段相对简单不多介绍。 重点介绍: 文章目录黑名单校验:截断上传: 用的不多,因为对PHP有版本要求: 黑名单校验: 在Apache的配置文件中,有能够被解析的后缀名的名单: 下面这个 自己的理解就是,单独的配置文件,优先级高于 config 可以自定义解析规则。 使用条件 这个是all 就可以 ,但是默认不开启。 直接上传hat文件即可生效。 比如自定义解析规...
WEB漏洞攻防 - 文件上传漏洞 - 白名单的绕过处理方法
易编橙 · 终身成长社群,相遇已是上上签!
09-02 1万+
区别于黑名单验证,白名单的绕过处理方法 采用后缀名的绕过方法 如`MIME修改、%00截断、0x00截断`
任意文件上传漏洞修正方式
04-07
任意文件上传漏洞修正方式包括以下几个步骤: 1. 对于用户上传的文件进行严格校验,只允许上传特定类型的文件,如图片、文档等。 2. 对于上传的文件进行隔离处理,即将用户上传的文件存储在一个与系统其他文件...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值